要聞速覽

1、一圖讀懂工信部《工業(yè)領域數(shù)據(jù)安全能力提升實施方案 (2024—2026年)》

2、《中華人民共和國保守國家秘密法》2024修訂版發(fā)布

3、全球知名AI 平臺Hugging Face “驚現(xiàn)”上百個惡意ML模型

4、WordPress 插件存在漏洞，500 萬網(wǎng)站面臨嚴重安全風險

5、黑客劫持超 8000 個可信域名，每日發(fā)送數(shù)百萬封惡意電子郵件

6、俄羅斯APT28組織隱秘攻擊Ubiquiti路由器，以逃避安全檢測

一周政策要聞

一圖讀懂工信部《工業(yè)領域數(shù)據(jù)安全能力提升實施方案 (2024—2026年)》

近日，工業(yè)和信息化部近日印發(fā)《工業(yè)領域數(shù)據(jù)安全能力提升實施方案（2024—2026年）》，提出到2026年底，我國工業(yè)領域數(shù)據(jù)安全保障體系基本建立。數(shù)據(jù)安全保護意識普遍提高，重點企業(yè)數(shù)據(jù)安全主體責任落實到位，重點場景數(shù)據(jù)保護水平大幅提升，重大風險得到有效防控。數(shù)據(jù)安全政策標準、工作機制、監(jiān)管隊伍和技術(shù)手段更加健全。數(shù)據(jù)安全技術(shù)、產(chǎn)品、服務和人才等產(chǎn)業(yè)支撐能力穩(wěn)步提升。關(guān)鍵指標包括：基本實現(xiàn)各工業(yè)行業(yè)規(guī)上企業(yè)數(shù)據(jù)安全要求宣貫全覆蓋；開展數(shù)據(jù)分類分級保護的企業(yè)超4.5萬家，至少覆蓋年營收在各?。▍^(qū)、市）行業(yè)排名前10%的規(guī)上工業(yè)企業(yè)；立項研制數(shù)據(jù)安全國家、行業(yè)、團體等標準規(guī)范不少于100項；遴選數(shù)據(jù)安全典型案例不少于200個，覆蓋行業(yè)不少于10個；數(shù)據(jù)安全培訓覆蓋3萬人次，培養(yǎng)工業(yè)數(shù)據(jù)安全人才超5000人。

《中華人民共和國保守國家秘密法》2024修訂版發(fā)布

2月27日，《中華人民共和國保守國家秘密法》由中華人民共和國第十四屆全國人民代表大會常務委員會第八次會議正式修訂通過，自2024年5月1日起施行。

全國人大常委會法工委國家法室負責人介紹，保密法此次修訂堅持總體國家安全觀，統(tǒng)籌發(fā)展與安全，將黨的十八大以來保密工作成熟有效的政策措施和實踐經(jīng)驗上升為法律制度，對于推動保密工作高質(zhì)量發(fā)展，維護國家主權(quán)、安全、發(fā)展利益具有重要而深遠的意義。新修訂的保密法在總則中規(guī)定“堅持中國共產(chǎn)黨對保守國家秘密工作的領導”，明確中央保密工作領導機構(gòu)領導全國保密工作，研究制定、指導實施國家保密工作戰(zhàn)略和重大方針政策，統(tǒng)籌協(xié)調(diào)國家保密重大事項和重要工作，推進國家保密法治建設。此次修訂吸收了一些工作實踐中定密和解密的成熟做法，包括：明確保密事項范圍的確定應當遵循必要、合理原則，科學論證評估，并根據(jù)情況變化及時調(diào)整；完善定密責任人制度和定密授權(quán)機制，并對密點標注作出原則規(guī)定，進一步推動定密精準化、科學化；完善國家秘密審核制度，將定期審核修改為每年審核，并明確了未履行解密審核責任造成嚴重后果的法律責任，進一步壓實定密機關(guān)、單位主體責任，便利信息資源合理利用。新修訂的保密法還體現(xiàn)出對于保密科技創(chuàng)新和科技防護的重視，在總則中明確國家鼓勵和支持保密科學技術(shù)研究和應用，提升自主創(chuàng)新能力，依法保護保密領域的知識產(chǎn)權(quán)。此次修訂還明確，涉密信息系統(tǒng)應當按照國家保密規(guī)定和標準規(guī)劃、建設、運行、維護，應按規(guī)定檢查合格方可投入使用，并定期開展風險評估。為適應當前涉密人員管理的新特點、新要求，此次修訂補充細化了涉密人員基本條件、權(quán)益保障和管理要求等方面的規(guī)定。

業(yè)內(nèi)新聞速覽

全球知名AI 平臺Hugging Face “驚現(xiàn)”上百個惡意ML模型

近日，JFrog 的安全團隊發(fā)現(xiàn)Hugging Face 平臺上至少 100 個惡意人工智能 ML 模型實例，其中一些可以在受害者的機器上執(zhí)行代碼，為攻擊者提供了一個持久的后門，構(gòu)成了數(shù)據(jù)泄露和間諜攻擊的重大風險。

Hugging Face 是一家從事人工智能（AI）、自然語言處理（NLP）和機器學習（ML）的技術(shù)公司，它提供了一個平臺，用戶可以在這個平臺上協(xié)作和共享模型、數(shù)據(jù)集和完整的應用程序。盡管 Hugging Face 采取了包括惡意軟件識別、pickle 和機密掃描在內(nèi)的安全措施，并對模型的功能進行了仔細檢查，但仍然沒能阻止安全事件發(fā)生。

惡意人工智能 ML 模型：

JFrog 開發(fā)并部署了一套先進的掃描系統(tǒng)，專門用于檢查 Hugging Face 上托管的 PyTorch 和 Tensorflow Keras 模型，發(fā)現(xiàn)其中 100 個模型具有某種形式的惡意功能。JFrog在報告中寫道：一般我們說的"惡意模型 "特指那些容納了真正有害有效載荷的模型。以此標準來統(tǒng)計排除了誤報，確保真實反映了在 Hugging Face 上為 PyTorch 和 Tensorflow 制作惡意模型的分布情況。

一個名為 "baller423 "的用戶最近上傳了一個 PyTorch 模型，該模型已從 HuggingFace 中刪除，其中一個突出案例包含的有效載荷使其能夠建立一個指向指定主機（210.117.212.93）的反向外殼。惡意有效載荷使用 Python 的 pickle 模塊的"__reduce__"方法在加載 PyTorch 模型文件時執(zhí)行任意代碼，通過將惡意代碼嵌入可信序列化過程來逃避檢測。

JFrog 發(fā)現(xiàn)相同的有效載荷在不同情況下會連接到其他 IP 地址，并且有證據(jù)表明其操作者可能是人工智能研究人員而非黑客。為此，分析人員部署了一個 HoneyPot 來吸引和分析這些活動，以確定操作者的真實意圖，但在建立連接期間（一天）無法捕獲任何命令。

JFrog表示，有一些惡意上傳可能是安全研究的一部分，目的是繞過 "擁抱臉譜 "上的安全措施并收集漏洞賞金，但既然這些危險的模型已經(jīng)公開，那么風險就是真實存在的，必須引起重視。人工智能 ML 模型可能會帶來巨大的安全風險，而利益相關(guān)者和技術(shù)開發(fā)人員還沒有意識到這些風險，也沒有認真討論過這些風險。JFrog 此次的發(fā)現(xiàn)更加說明了問題的重要性，他呼吁大家提高警惕并采取積極措施，以保護生態(tài)系統(tǒng)免受惡意行為者的侵害。

消息來源：FREEBUF  https://www.freebuf.com/news/392830.html

WordPress 插件存在漏洞，500 萬網(wǎng)站面臨嚴重安全風險

網(wǎng)絡安全研究人員近期發(fā)現(xiàn) WordPress  LiteSpeed Cache 插件中存在一個安全漏洞，該漏洞被追蹤為 CVE-2023-40000，未經(jīng)身份驗證的威脅攻擊者可利用該漏洞獲取超額權(quán)限。

LiteSpeed Cache 主要用于提高網(wǎng)站性能，據(jù)不完全統(tǒng)計已經(jīng)有 500 多萬安裝用戶。

Patchstack 研究員 Rafie Muhammad 表示，LiteSpeed Cache 插件中存在未經(jīng)身份驗證的全站存儲的跨站腳本安全漏洞，可能允許任何未經(jīng)身份驗證的威脅攻擊者通過執(zhí)行單個 HTTP 請求，在 WordPress 網(wǎng)站上獲取超額權(quán)限，從而獲取受害者的敏感信息。

WordPress 方面指出，CVE-2023-40000 安全漏洞出現(xiàn)的原因是缺乏用戶輸入”消毒"和轉(zhuǎn)義輸出，安全漏洞已于 2023 年 10 月在 5.7.0.1 版本升級時得到了解決。

CVE-2023-40000 漏洞源于一個名為 update_cdn_status() 的函數(shù)，可在默認安裝中重現(xiàn)，Muhammad表示，由于 XSS 有效載荷被設置為了管理通知，而且管理通知可以顯示在任何 wp-admin 端點上，因此任何可以訪問 wp-admin 區(qū)域的用戶都可以輕易觸發(fā) CVE-2023-40000 漏洞。

Wordfence 頻頻曝出安全漏洞：

2023 年 7 月 18 日，安全研究人員發(fā)現(xiàn)擁有 500 萬安裝用戶的 WordPress 網(wǎng)站數(shù)據(jù)遷移插件 All-in-One WP Migration 存在未經(jīng)身份驗證的訪問令牌操作漏洞，攻擊者可借此訪問網(wǎng)站敏感的數(shù)據(jù)信息。好消息是，由于 All-in-One WP Migration 只在網(wǎng)站遷移項目中使用，通常不會在其它任何時候激活，因此在一定程度上緩解了漏洞帶來的安全問題。

All-in-One WP Migration 是一款流行的 WordPress 網(wǎng)站遷移工具，適用于非技術(shù)和經(jīng)驗不足的用戶，允許將數(shù)據(jù)庫、媒體、插件和主題無縫導出到一個易于在新目的地恢復的單個存檔中。

安全漏洞被追蹤為 CVE-2023-40004，允許未經(jīng)身份驗證的“用戶”訪問和操縱受影響擴展上的令牌配置，使網(wǎng)絡攻擊者將網(wǎng)站遷移數(shù)據(jù)轉(zhuǎn)移到自身的第三方云服務賬戶或恢復惡意備份，一旦成功利用 CVE-2023-40004 ，導致包括用戶詳細信息、關(guān)鍵網(wǎng)站數(shù)據(jù)和專有信息等數(shù)據(jù)信息泄露。

安全研究人員在發(fā)現(xiàn)安全漏洞后，立刻報告給了 ServMask ，2023 年 7 月 26 日，供應商 ServMask 發(fā)布了安全更新，為 init 函數(shù)引入了權(quán)限和非 nonce 驗證。

插件供應商 ServMask 提供的各種高級擴展都包含相同的易受攻擊代碼片段，這些代碼片段在 init 函數(shù)中缺乏權(quán)限和 nonce 驗證。（該代碼還存在于 Box 擴展、Google Drive 擴展、One Drive 擴展和 Dropbox 擴展中，這些擴展都是為了方便使用上述第三方平臺的數(shù)據(jù)遷移過程而創(chuàng)建。）不久后， WordPress 又被爆出一個安裝了超過 9 萬次的 WordPress 插件中存在一個嚴重的安全漏洞，威脅攻擊者能夠利用該漏洞獲得遠程代碼執(zhí)行權(quán)限，從而完全控制有漏洞的網(wǎng)站。該插件名為 "Backup Migration"，可幫助管理員自動將網(wǎng)站備份到本地存儲或 Google Drive 賬戶上。安全漏洞被追蹤為 CVE-2023-6553，嚴重性評分為 9.8/10，由一個名為 Nex Team 的漏洞“獵人”團隊發(fā)現(xiàn)，主要影響 Backup Migration 1.3.6 及以下的所有插件版本。該團隊發(fā)現(xiàn)漏洞后依據(jù)最近推出的漏洞懸賞計劃，立刻向 WordPress 安全公司 Wordfence 報告了漏洞問題。接收到漏洞通知后，Wordfence 方面表示威脅攻擊者能夠控制傳遞給 include 的值，然后利用這些值來實現(xiàn)遠程代碼執(zhí)行，這使得未經(jīng)身份驗證的威脅攻擊者可以在服務器上輕松執(zhí)行代碼。通過提交特制的請求，威脅攻擊者還可以利用 CVE-2023-6553 安全漏洞來“包含”任意的惡意 PHP 代碼，并在 WordPress 實例的安全上下文中的底層服務器上執(zhí)行任意命令。2023 年12 月 6 日，安全研究人員又發(fā)現(xiàn)高級 WordPress 插件 Brick Builder 中的存在關(guān)鍵遠程代碼執(zhí)行 (RCE) 漏洞，威脅攻擊者能夠利用漏洞在易受攻擊的網(wǎng)站上執(zhí)行惡意 PHP 代碼。（Brick Builder 被“譽為”是創(chuàng)新的、社區(qū)驅(qū)動的可視化網(wǎng)站構(gòu)建工具，擁有約 25000 個有效安裝，可促進網(wǎng)站設計的用戶友好性和定制化。）接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（備份遷移插件背后的開發(fā)團隊）報告了這一重大安全漏洞，開發(fā)人員在數(shù)小時后發(fā)布了補丁。

消息來源：CSDN  https://blog.csdn.net/FreeBuf_/article/details/136352014

黑客劫持超 8000 個可信域名，每日發(fā)送數(shù)百萬封惡意電子郵件

IT之家 2 月 28 日消息，Guardio Labs 近日發(fā)布報告，曝光了名為 SubdoMailing 的網(wǎng)絡攻擊活動，通過劫持 8000 多個可信域名，每日發(fā)送了數(shù)百萬封惡意電子郵件。

報告稱這項活動最早可以追溯到 2022 年，攻擊者劫持了屬于合法公司和機構(gòu)的 8000 多個域名和 13000 個子域的控制權(quán)，其中包括 MSN、VMware、McAfee、經(jīng)濟學人、康奈爾大學、哥倫比亞廣播公司、漫威、斯沃琪、賽門鐵克、美國公民自由聯(lián)盟、普華永道、美國商業(yè)促進局、聯(lián)合國兒童基金會和 eBay 等在內(nèi)的一些知名品牌和機構(gòu)。研究人員 Nati Tal 和 Oleg Zaytsev 透露，攻擊者利用劫持的這些域名發(fā)送數(shù)百萬封惡意電子郵件。這些惡意電子郵件包含隱藏惡意鏈接的嵌入式按鈕，用戶一旦點擊該按鈕，就會在后臺執(zhí)行一系列重定向操作，攻擊者就可以通過惡意廣告或欺詐性廣告獲得收入。

研究人員說：這些重定向會檢查你的設備類型和地理位置，從而指向為實現(xiàn)利潤最大化而定制的內(nèi)容。然而，并非所有的重定向都是為了欺詐性廣告瀏覽而指向合法域名，因為其中一些鏈接還將用戶導向了釣魚網(wǎng)站。在某些情況下，這些網(wǎng)站下載了惡意軟件，目的是騙取用戶的錢財。據(jù)報道，該活動至少從 2022 年開始運作，利用 SPF 和 DKIM 電子郵件策略，每天通過安全電子郵件網(wǎng)關(guān)發(fā)送數(shù)百萬封網(wǎng)絡釣魚電子郵件。攻擊者還將整封郵件設計成圖片，以躲避基于文本的垃圾郵件過濾器，而這些郵件來自可信域的事實也有助于繞過檢測。

消息來源：IT之家  https://baijiahao.baidu.com/s?id=1792113739751842291&wfr=spider&for=pc

俄羅斯APT28組織隱秘攻擊Ubiquiti路由器，以逃避安全檢測

Bleepingcomputer網(wǎng)站消息，近日，美國聯(lián)邦調(diào)查局與國家安全局、美國網(wǎng)絡司令部及國際合作伙伴聯(lián)合發(fā)布警告稱，俄羅斯軍方黑客正通過被入侵的Ubiquiti EdgeRouters來逃避檢測。

早在2018年4月，美國和英國當局已經(jīng)聯(lián)合發(fā)布報告稱，俄羅斯黑客正在攻擊家用及企業(yè)級路由器。該報告強調(diào)，俄羅斯黑客長期以來一直將互聯(lián)網(wǎng)路由器作為攻擊目標，通過這些設備發(fā)起中間人攻擊以支持其間諜活動，保持對受害者網(wǎng)絡的持續(xù)訪問，并為進一步的攻擊活動奠定基礎。
這些黑客屬于俄羅斯總參謀部情報總局（GRU）下的26165軍事單位，也被稱為APT28和Fancy Bear。他們利用這些受到攻擊的路由器創(chuàng)建了大型的僵尸網(wǎng)絡，以便竊取登錄憑證、搜集NTLMv2認證信息，并用作惡意流量的中轉(zhuǎn)站。此外，在針對全球各地的軍事、政府及其他機構(gòu)的秘密網(wǎng)絡行動中，APT28還利用EdgeRouters部署定制工具和設置釣魚網(wǎng)站的登錄頁面。聯(lián)合警告指出，EdgeRouters通常以默認的登錄憑據(jù)出售，并且為了方便無線互聯(lián)網(wǎng)服務提供商（WISPs）的使用，這些路由器的防火墻保護非常有限或幾乎不存在。除非用戶進行設置，否則EdgeRouters不會自動更新其固件。本月早些時候，美國聯(lián)邦調(diào)查局（FBI）破壞了一個由網(wǎng)絡罪犯創(chuàng)建的僵尸網(wǎng)絡，該網(wǎng)絡由感染了Moobot惡意軟件的Ubiquiti EdgeRouters組成。雖然被破壞的僵尸網(wǎng)絡與APT28無關(guān)，但后來該組織重新利用這些路由器，構(gòu)建了一個具有全球影響力的網(wǎng)絡間諜工具。在調(diào)查被黑路由器的過程中，F(xiàn)BI發(fā)現(xiàn)了各種APT28發(fā)起攻擊使用的多種工具和痕跡，其中包括用來竊取網(wǎng)絡郵件憑據(jù)的Python腳本、用來搜集NTLMv2認證摘要的程序，以及自動將釣魚流量重定向到攻擊專用基礎設施的定制路由規(guī)則。

APT28：

APT28是一個聲名狼藉的俄羅斯黑客組織，自成立以來，已經(jīng)被查明是多起高調(diào)網(wǎng)絡攻擊的幕后黑手。

2016年，該組織入侵了德國聯(lián)邦議院（Deutscher Bundestag），并在美國總統(tǒng)選舉前對民主黨國會競選委員會（DCCC）和民主黨全國委員會（DNC）發(fā)起了攻擊。

兩年后（即2018年），APT28成員因參與DNC和DCCC的攻擊在美國被起訴。

2020年10月，歐洲聯(lián)盟理事會因APT28成員參與德國聯(lián)邦議院黑客事件對其實施了制裁。

如何“恢復”被入侵的Ubiquiti EdgeRouters：

FBI及其合作機構(gòu)在通告中建議采取以下措施，以消除惡意軟件感染并阻止APT28訪問被入侵的路由器：

1、將硬件恢復出廠設置以清除惡意文件；

2、升級到最新的固件版本；

3、更改所有默認的用戶名和密碼；

4、在廣域網(wǎng)（WAN）側(cè)接口部署策略性防火墻規(guī)則，避免遠程管理服務被不當訪問。

目前，聯(lián)邦調(diào)查局正在搜集有關(guān)APT28在被黑的EdgeRouters上的活動信息，目的是為了阻止這些攻擊技術(shù)的進一步使用，并對相關(guān)責任者進行問責。

如果發(fā)現(xiàn)任何與這些攻擊有關(guān)的可疑或非法行為，應立即向當?shù)氐腇BI辦公室或聯(lián)邦調(diào)查局的互聯(lián)網(wǎng)犯罪投訴中心（IC3）進行報告。

消息來源：FREEBUF  https://www.freebuf.com/news/392782.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！